Copier une AMI - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Copier une AMI

Vous pouvez copier une Amazon Machine Image (AMI) au sein d'une région ou d'une AWS région à l'autre. Vous pouvez copier à la fois des AMI basées sur Amazon EBS et des AMI basées sur le stockage d'instance. Vous pouvez copier des AMI basées sur EBS avec des instantanés chiffrés, et également modifier l'état du chiffrement pendant le processus de copie. Vous pouvez copier les AMI partagées avec vous.

La copie d'une AMI source produit une nouvelle AMI identique mais distincte, également appelée AMI cible. L'AMI cible possède son propre ID d'AMI unique. Vous pouvez modifier ou annuler l’enregistrement d’une AMI source sans que cela ait un impact sur l’AMI cible. L’inverse est également vrai.

Avec une AMI basée sur EBS, chacun de ses instantanés de sauvegarde est copié sur un instantané cible identique mais distinct. Si vous copiez une AMI dans une nouvelle région, les instantanés sont des copies complètes (non incrémentielles). Si vous chiffrez des instantanés de sauvegarde non chiffrés ou si vous les chiffrez sur une nouvelle clé KMS, les instantanés sont des copies complètes (non incrémentielles). Les opérations de copie suivantes d’une AMI créent des copies incrémentielles des instantanés de sauvegarde.

Considérations

  • Autorisation de copier des AMI : vous pouvez utiliser des politiques IAM pour accorder ou refuser aux utilisateurs l'autorisation de copier des AMI. Les autorisations de niveau ressource spécifiées pour l’action CopyImage s’appliquent uniquement à la nouvelle AMI. Vous ne pouvez pas spécifier d’autorisations au niveau des ressources pour l’AMI source.

  • Autorisations de lancement et autorisations de compartiment Amazon S3 : AWS ne copie pas les autorisations de lancement ou les autorisations de compartiment Amazon S3 de l'AMI source vers la nouvelle AMI. Une fois la copie terminée, vous pouvez appliquer les autorisations de lancement et les permissions de compartiment Amazon S3 à la nouvelle AMI.

  • Balises : vous ne pouvez copier que les balises AMI définies par l'utilisateur que vous avez jointes à l'AMI source. Les balises système (préfixées par aws:) et les balises qdéfinies par l’utilisateur qui sont attachées par d’autres Comptes AWS ne seront pas copiées. Lorsque vous copiez une AMI, vous pouvez associer de nouvelles balises à l'AMI cible et à ses instantanés de sauvegarde.

Coûts

Vous n’êtes pas facturé pour la copie d’une AMI. Toutefois, les taux standard de stockage et de transfert de données s’appliquent. Si vous copiez une AMI basée sur EBS, des frais seront facturés pour le stockage de tout instantané EBS supplémentaire.

Autorisations IAM

Pour copier une AMI basée sur EBS ou une instance store-backed, vous devez disposer des autorisations IAM suivantes :

  • ec2:CopyImage— Pour copier l'AMI. Pour les AMI basées sur EBS, il autorise également la copie des instantanés de sauvegarde de l'AMI.

  • ec2:CreateTags— Pour baliser l'AMI cible. Pour les AMI basées sur EBS, il autorise également à baliser les instantanés de sauvegarde de l'AMI cible.

Si vous copiez une AMI sauvegardée par instance, vous avez besoin des autorisations IAM supplémentaires suivantes :

  • s3:CreateBucket— Pour créer le compartiment S3 dans la région cible pour la nouvelle AMI

  • s3:GetBucketAcl— Pour lire les autorisations ACL pour le bucket source

  • s3:ListAllMyBuckets— Pour trouver un compartiment S3 existant pour les AMI dans la région cible

  • s3:GetObject— Pour lire les objets du bucket source

  • s3:PutObject— Pour écrire les objets dans le compartiment cible

  • s3:PutObjectAcl— Pour écrire les autorisations pour les nouveaux objets dans le compartiment cible

Exemple de politique IAM pour copier une AMI basée sur EBS et baliser l'AMI cible et les instantanés

L'exemple de politique suivant vous autorise à copier n'importe quelle AMI basée sur EBS et à étiqueter l'AMI cible et ses instantanés de sauvegarde.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "PermissionToCopyAllImages", "Effect": "Allow", "Action": [ "ec2:CopyImage", "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::image/*" }] }

Exemple de politique IAM pour copier une AMI basée sur EBS mais refuser de baliser les nouveaux instantanés

L'ec2:CopySnapshotautorisation est automatiquement accordée lorsque vous l'ec2:CopyImageobtenez. Cela inclut l'autorisation de baliser les nouveaux instantanés de sauvegarde de l'AMI cible. L'autorisation de baliser les nouveaux instantanés de sauvegarde peut être explicitement refusée.

L'exemple de politique suivant vous autorise à copier n'importe quelle AMI basée sur EBS, mais vous interdit de baliser les nouveaux instantanés de sauvegarde de l'AMI cible.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:CopyImage", "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::image/*" }, { "Effect": "Deny", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:::snapshot/*" } ] }

Exemple de politique IAM pour copier une AMI sauvegardée par une instance store-back et baliser l'AMI cible

L'exemple de politique suivant vous autorise à copier toute AMI sauvegardée en instance dans le compartiment source spécifié vers la région spécifiée et à étiqueter l'AMI cible.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "PermissionToCopyAllImages", "Effect": "Allow", "Action": [ "ec2:CopyImage", "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::image/*" }, { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": [ "arn:aws:s3:::*" ] }, { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::ami-source-bucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketAcl", "s3:PutObjectAcl", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amis-for-account-in-region-hash" ] } ] }

Pour trouver le Amazon Resource Name (ARN) du compartiment source de l’AMI, ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/, puis choisissez AMI dans le panneau de navigation et recherchez le nom du compartiment dans la colonne Source.

Note

L's3:CreateBucketautorisation n'est requise que la première fois que vous copiez une AMI sauvegardée par une instance store-backed dans une région spécifique. Après cela, le compartiment Amazon S3 qui est déjà créé dans la région est utilisé pour stocker tous les futurs AMIs que vous copiez dans cette région.

Copier une AMI

Vous pouvez copier une AMI à l' AWS Management Console aide de l' AWS Command Line Interface API Amazon EC2 ou des SDK, qui prennent tous en charge CopyImage l'action.

Console
Pour copier une AMI
  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation de la console, sélectionnez la région comportant l’AMI.

  3. Dans le volet de navigation, choisissez AMIs pour afficher la liste des AMI disponibles dans la région.

  4. Si l'AMI que vous souhaitez copier ne s'affiche pas, choisissez un autre filtre. Vous pouvez filtrer en fonction des AMI que je possède, des images privées, des images publiques et des images désactivées.

  5. Sélectionnez l'AMI à copier, puis choisissez Actions, Copier l'AMI.

  6. Sur la page Copy AMI (Copier une AMI), spécifiez les informations suivantes :

    1. AMI copy name (Nom de la copie de l’AMI) : un nom pour la nouvelle AMI. Vous pouvez inclure les informations relatives au système d'exploitation dans le nom, car Amazon EC2 ne fournit pas ces informations lors de l'affichage des informations relatives à l'AMI.

    2. AMI copy description (Description de la copie de l’AMI) : par défaut, la description inclut des informations sur l’AMI source afin que vous puissiez distinguer la copie de l’original. Vous pouvez modifier cette description si nécessaire.

    3. Région de destination : région dans laquelle vous souhaitez copier l’AMI. Pour plus d’informations, consultez Copie entre régions.

    4. Copier les balises : cochez cette case pour inclure les balises d’AMI définies par l’utilisateur lors de la copie de l’AMI. Les balises système (préfixées par aws:) et les balises qdéfinies par l’utilisateur qui sont attachées par d’autres Comptes AWS ne seront pas copiées.

    5. (AMI basées sur EBS uniquement) Chiffrer les instantanés EBS de la copie de l'AMI : cochez cette case pour chiffrer les instantanés cibles ou pour les rechiffrer à l'aide d'une autre clé. Si le chiffrement est activé par défaut, la case Chiffrer les instantanés EBS de la copie AMI est cochée et ne peut pas être désactivée. Pour plus d’informations, consultez Chiffrement et copie.

    6. (AMI basées sur EBS uniquement) Clé KMS : clé KMS à utiliser pour chiffrer les instantanés cibles.

    7. Balises : vous pouvez étiqueter la nouvelle AMI et les nouveaux instantanés avec les mêmes balises, ou vous pouvez les étiqueter avec des balises différentes.

      • Pour étiqueter la nouvelle AMI et les nouveaux instantanés avec les mêmes balises, choisissez Marquer ensemble l'image et les instantanés. Les mêmes balises sont appliquées à la nouvelle AMI et à chaque instantané créé.

      • Pour étiqueter la nouvelle AMI et les nouveaux instantanés avec des balises différentes, choisissez Marquer l'image et les instantanés séparément. Différentes balises sont appliquées à la nouvelle AMI et aux instantanés créés. Notez toutefois que tous les nouveaux instantanés créés reçoivent les mêmes balises ; vous ne pouvez pas étiqueter chaque nouvel instantané avec une balise différente.

      (Facultatif) Pour ajouter une balise, sélectionnez Add tag (Ajouter une balise) et saisissez la clé et la valeur de la balise. Répétez l’opération pour chaque étiquette.

    8. Lorsque vous êtes prêt à copier l'AMI, choisissez Copier l'AMI.

      L’état initial de la nouvelle AMI est Pending. L’opération de copie AMI est terminée lorsque l’état passe à Available.

AWS CLI
Pour copier une AMI à l'aide du AWS CLI

Vous pouvez copier une AMI à l’aide de la commande copy-image. Vous devez indiquer les régions source et de destination. Vous spécifiez la région source à l’aide du paramètre --source-region. Vous pouvez spécifier la région de destination à l’aide du paramètre --region ou d’une variable d’environnement. Pour plus d'informations, voir Configuration de l'interface de ligne de AWS commande.

(AMI basées sur EBS uniquement) Lorsque vous chiffrez un instantané cible pendant la copie, vous devez spécifier les paramètres supplémentaires suivants : et. --encrypted --kms-key-id

Pour des exemples de commandes, veuillez consulter les exemples sous copy-image dans la référence des commandes AWS CLI .

PowerShell
Pour copier une AMI à l'aide des outils pour Windows PowerShell

Vous pouvez copier une AMI à l'aide de la Copy-EC2Imagecommande. Vous devez indiquer les régions source et de destination. Vous spécifiez la région source à l’aide du paramètre -SourceRegion. Vous pouvez spécifier la région de destination à l’aide du paramètre -Region ou de la commande Set-AWSDefaultRegion. Pour plus d'informations, consultez la section Spécification AWS des régions.

(AMI basées sur EBS uniquement) Lorsque vous chiffrez un instantané cible pendant la copie, vous devez spécifier les paramètres supplémentaires suivants : et. -Encrypted -KmsKeyId

Arrêter la copie d’une AMI en attente

Vous pouvez arrêter une copie d'AMI en attente à l'aide de la ligne de commande AWS Management Console ou de la ligne de commande.

Console
Pour arrêter l’opération de copie d’une AMI à l’aide de la console
  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation, sélectionnez la région de destination dans le sélecteur de régions.

  3. Dans le panneau de navigation, sélectionnez AMI.

  4. Sélectionnez l'AMI pour arrêter la copie, puis choisissez Actions, Désenregistrer l'AMI.

  5. Lorsque vous êtes invité à confirmer l’opération, choisissez Deregister AMI (Annuler l’enregistrement de l’AMI).

Command line
Pour arrêter une opération de copie d’une AMI à l’aide de la ligne de commande

Vous pouvez utiliser l’une des commandes suivantes. Pour plus d’informations sur les CLI (interface ligne de commande), consultez Accès à Amazon EC2.

Copie entre régions

La copie d’une AMI entre différentes régions géographiques offre les avantages suivants :

  • Déploiement international uniforme : la copie d’une AMI d’une région à l’autre vous permet de lancer des instances uniformes reposant sur la même AMI dans différentes régions.

  • Évolutivité : vous pouvez plus facilement concevoir et créer des applications d’envergure internationale répondant aux besoins de vos utilisateurs, quel que soit l’emplacement.

  • Performances : vous pouvez accroître les performances en distribuant votre application, ainsi qu’en recherchant les composants critiques de votre application plus près de vos utilisateurs. Vous pouvez également tirer parti des fonctionnalités spécifiques à la région, telles que les types d'instances ou d'autres AWS services.

  • Disponibilité élevée : vous pouvez concevoir et déployer des applications dans différentes régions AWS afin d’accroître leur disponibilité.

Le schéma suivant montre la relation entre une AMI source et deux AMI copiées dans différentes régions, ainsi que les instances EC2 lancées depuis chacune d'elles. Lorsque vous lancez une instance à partir d’une AMI, elle se trouve dans la même région que l’AMI. Si vous modifiez l’AMI source et que vous souhaitez faire apparaître ces modifications dans les AMIs des régions cibles, vous devez recopier l’AMI source dans les régions cibles.

AMI copiées dans différentes régions

La première fois que vous copiez une AMI basée sur le stockage d’instance dans une région, nous créons un compartiment Amazon S3 pour les AMIs copiées dans cette région. Toutes les AMIs basées sur le stockage d’instance que vous copiez dans cette région sont stockées dans ce compartiment. Les noms des compartiments ont le format suivant : amis-for-account-in-region-hash. Par exemple : amis-for-123456789012-in-us-east-2-yhjmxvp6.

Prérequis

Avant de copier une AMI, vous devez veiller à ce que le contenu de l’AMI source ait été mis à jour afin de pouvoir être exécuté dans une région différente. Par exemple, vous devez mettre à jour toutes les chaînes de connexion à la base de données ou des données de configuration d’application similaires de façon à ce qu’elles pointent vers les ressources appropriées. Dans le cas contraire, les instances lancées depuis la nouvelle AMI dans la région de destination peuvent toujours utiliser les ressources de la région source, ce qui peut avoir un impact sur les performances et les coûts.

Limites
  • Les régions de destination sont limitées à 100 copies d’une AMI à la fois.

  • Vous ne pouvez pas copier une AMI paravirtuelle (PV) dans une région qui ne prend pas en charge les AMI PV. Pour plus d’informations, consultez Types de virtualisation AMI.

Copie entre comptes

Si une AMI d'un autre Compte AWS utilisateur est partagée avec vous Compte AWS, vous pouvez copier l'AMI partagée. C'est ce que l'on appelle la copie entre comptes. L'AMI qui est partagée avec vous est l'AMI source. Lorsque vous copiez l'AMI source, vous créez une nouvelle AMI. La nouvelle AMI est souvent désignée sous le nom d'AMI cible.

Coûts d’AMI
  • Pour une AMI partagée, le compte de l'AMI partagée est débité pour le stockage dans la région.

  • Si vous copiez une AMI partagée avec votre compte, vous êtes le propriétaire de l'AMI cible de votre compte.

    • Les frais de transfert standard d'Amazon EBS ou Amazon S3 sont facturés au propriétaire de l'AMI source.

    • Le stockage de l'AMI cible dans la région de destination vous est facturé.

Autorisations d’accès aux ressources

Pour copier une AMI qui a été partagée avec vous à partir d’un autre compte, le propriétaire de l’AMI source doit vous accorder des autorisations de lecture pour le stockage sur lequel est basée l’AMI. Le stockage est soit l’instantané EBS associé (pour une AMI basée sur Amazon EBS) soit un compartiment S3 associé (pour une AMI basée sur le stockage d’instances). Si l’AMI partagée comporte des instantanés chiffrés, le propriétaire doit également partager la ou les clé(s) avec vous. Pour plus d'informations sur l'octroi d'autorisations de ressources, pour les instantanés EBS, voir Partager un instantané Amazon EBS dans le guide de l'utilisateur Amazon EBS, et pour les compartiments S3, voir Gestion des identités et des accès dans Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Note

Les balises associées à l'AMI source ne sont pas copiées d'un compte à l'autre vers l'AMI cible.

Chiffrement et copie

Le tableau suivant représente la prise en charge du chiffrement dans divers cas de figure de copie d’AMI. Bien qu’il soit possible de copier un instantané non chiffré pour créer un instantané chiffré, vous ne pouvez pas copier un instantané chiffré et en créer un qui ne soit pas chiffré.

Scénario Description Pris en charge
1 U nencrypted-to-unencrypted Oui
2 E ncrypted-to-encrypted Oui
3 U nencrypted-to-encrypted Oui
4 E ncrypted-to-unencrypted Non
Note

Le chiffrement pendant l’action CopyImage s’applique uniquement aux AMIs basées sur Amazon EBS. Dans la mesure où une AMI basée sur le stockage d’instance ne s’appuie pas sur les instantanés, vous ne pouvez pas utiliser la copie pour modifier son statut de chiffrement.

Par défaut (à savoir, sans spécifier les paramètres de chiffrement), l’instantané sur lequel repose une AMI est copié avec son statut de chiffrement initial. La copie d’une AMI reposant sur un instantané non chiffré crée un instantané cible identique qui n’est pas chiffré non plus. Si l'AMI source est soutenue par un instantané chiffré, sa copie permet d'obtenir un instantané cible identique chiffré par la même AWS KMS clé. La copie d’une AMI basée sur plusieurs instantanés conserve, par défaut, le statut de chiffrement source dans chaque instantané cible.

Si vous spécifiez les paramètres de chiffrement lors de la copie d’une AMI, vous pouvez chiffrer ou rechiffrer ses instantanés. L’exemple suivant montre un cas (non par défaut) qui fournit les paramètres de chiffrement à l’action CopyImage dans le but de modifier l’état de chiffrement de l’AMI cible.

Copier une AMI source non chiffrée vers une AMI cible chiffrée

Dans ce scénario, une AMI basée sur un instantané racine non chiffré est copiée sur une AMI avec un instantané racine chiffré. L’action CopyImage est appelée avec deux paramètres de chiffrement, y compris une clé gérée par le client. Par conséquent, l’état de chiffrement de l’instantané racine change, de sorte que l’AMI cible est basée sur un instantané racine contenant les mêmes données que l’instantané source, mais chiffrée à l’aide de la clé spécifiée. Vous supportez des coûts de stockage pour les instantanés dans les deux AMI, ainsi que des frais pour toutes les instances que vous lancez à partir de l’une ou l’autre AMI.

Note

L'activation du chiffrement par défaut a le même effet que la définition du Encrypted paramètre sur true pour tous les instantanés de l'AMI.

Copier l’AMI et chiffrer l’instantané à la volée

Définir le paramètre Encrypted chiffre l’instantané unique de cette instance. Si vous ne spécifiez pas le paramètre KmsKeyId, la clé gérée par le client par défaut est utilisée pour chiffrer la copie de l’instantané.

Pour plus d’informations sur la copie d’AMIs avec des instantanés chiffrés, consultez Utiliser le chiffrement avec des AMI basées sur EBS.